Re: portmap/nfs et iptables...
fred <fredantispam@free.fr> a écrit :
> Voici les règles de mon firewall.
>
> IPT=/sbin/iptables
> LAN="10.0.0.0/24"
> IF_LAN=ath0
> ADDR_GATEWAY_LAN="10.0.0.254"
> IF_NET=eth0
> ADDR_GATEWAY_NET="xx.xx.xx.xx"
>
> ### on loggue ce qui est accepté et ce qui est rejeté
> ${IPT} -N LOG_ACCEPT
> ${IPT} -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
> ${IPT} -A LOG_ACCEPT -j ACCEPT
> ${IPT} -N LOG_DROP
> ${IPT} -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
> ${IPT} -A LOG_DROP -j DROP
>
> ### on rejette tout
> ${IPT} -P INPUT DROP
> ${IPT} -P FORWARD DROP
> #${IPT} -A INPUT -j REJECT
> #${IPT} -P OUTPUT DROP
>
> ### on accepte tout sur le loopback
> ${IPT} -A INPUT -i lo -j ACCEPT
> #${IPT} -A OUTPUT -o lo -j ACCEPT
>
> ### on n'accepte que les connexions déjà établies
> ${IPT} -A INPUT -i ${IF_NET} -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> ### redirection vers l'extérieur
> ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j SNAT --to ${ADDR_GATEWAY_NET}
> ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j MASQUERADE
>
> ### règles pour le LAN
> ## on accepte les connexions en tant que serveur
> ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT # rpcbind/portmapper
> ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT # rpcbind/portmapper
> ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
> ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs
Dernière question sur le sujet (j'espère ;-)
Je loggue dans ce qui est accepté et réfusé dans les règles ci-dessus.
Par exemple, si je fais un telnet sur le port 25, celui est normalement refusé.
Or rien dans les logs (syslog ou dmesg ou messages) ne m'indique que
cette connexion a été refusée (non plus si une connexion a été accepté).
Qu'ai-je donc encore oublié/omis de préciser ?
Un problème d'interface chaise/clavier ?
Merci.
--
Fred.
Reply to: